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Proc6d6 et systeme tracables de chiffrempnt et/ou de dechifframon* 
d'informations. et siinnnrts d'enreaistra ment Dour la n^jse en oauvre d.. 

Droc6de 

L'invention conceme un proc6d6 et un systeme tradables de 
chiffrement eVou de d6chiffrement d'informations diffus6es ainsi que des 
supports d'enreglstrement pour la mise en oeuvre du proc6d6. 

Plus precis6ment, l'invention conceme un proc§d6 tragable dans 

lequel : 

- lors du chiffrement des informations diffusees, l'§metteur met en 
oeuvre au moins une premiere fonction cryptograpiiique secrete, et 

- lors du decliiffrement de ces informations diffus6es, tous les 
d§codeurs mettent en oeuvre au moins une meme seconde fonction 
cryptographique secrete identique a ladlte premiere fonction ou d son inverse, 
cliaque decodeur faisant appel ^ cet effet d une description math6matique de 
ladite seconde fonction enregjstr6e dans une m6moire. 

Les precedes tragables de chiffrement sont des proc6d6s dans 
lesquels un proc6de de tragage des traTtres peut §tre mis en oeuvre. 

Les proc§d6s de tragage des traTtres sont utilises pour lutter centre le 
piratage de services de distribution, sur un canal dlffus6, de contenus multimedia 
chiffres tels que vid§o, t6l6vision, images, musique. textes. pages Web, livres 
electroniques, programmes, etc. Les precedes de tragage des traitres ont pour 
but de pr6venir la redistribution frauduleuse, par un ou plusieurs utilisateurs 
legitimes de tels services, de donn^es deduites des cl6s secretes et des 
algoritlimes de d6chiffrement implantes dans leur 6quipement de d§codage, afin 
de permettre ^ des utilisateurs illicites (pirates) d'acceder aux contenus en clair. 
Ces proc§des garantissent que si une telle fraude se produit, l'ldentit§ de I'un au 
moins des utilisateurs legitimes qui sont ^ I'origlne de la fraude peut etre 
reconstitute par l'op6rateur du service de distribution de contenus ou plus 
g6n6ralement par une autoritt a partir des donn6es redistributes aux utilisateurs 
illicites. Cet utillsateur legitime d I'origlne de la fraude est appelt "traltre" dans la 
suite de la description. 

Le concept de tragage des traTtres a §t§ pour la premiere fois propose 
par Benny Chor, Amos Fiat et IVIonI Naor dans leur article de 1994, "Tracing 
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Traitors". Advances in Cryptology - Crypto'94. Lecture Notes In Computer 
Science, vol. 839, Springer-Verlag. 1994. pp. 257-270. Dans cet article, les 
premieres techniques de tragage dans un systeme cryptographlque sont 
propos6es. Les syst^mes cryptographiques dans lesquels un proc6d6 de tragage 
5 des traitres peut §tre mis en oeuvre sont dits "tragables". Quaslment toutes ces 
techniques sont de nature combinatoire. En d'autres termes. chaque utillsateur 
I6gitime du systdme cryptographlque se volt attrlbuer un sous-ensemble de cles 
d'un ensemble (g§n6ralement assez grand) de cl§s de base. Ce sous-ensemble 
de cl§s de base attrlbu6 a un utillsateur est unique pour chaque utillsateur et 

10 constitue sa cl6 personnelle. 

Les informations diffus§es dans ce systeme comprennent des 
messages chlffres. Chaque message chlffr§ est form§ d'un contenu chlffr6 d 
I'aide d'une cl6 de chiffrement de contenu et d'en-tetes chiffr6 chacun avec une 
cl§ de base. Chaque en-tete contlent une valeur repr6sentant une partie de la cl6 

15 de chiffrement de contenu. 

Lorsqu'un utllisateur regoit Tun de ces messages. II d6chlffre ^ I'aide de 
son sous-ensemble de cl6s de base certaines valeurs contenues dans les en- 
t§tes regus. II combine alors les valeurs ainsi d6chlffr6es pour reconstltuer la cl6 
de chiffrement de contenu et cette cl6 de chiffrement de contenu reconstituee est 

20 utills^e pour dechlffrer le contenu du message. 

Si I'un des utillsateurs legitimes du systeme communique sa cl§ 
personnelle a un utillsateur lliicite, alors, dans ce systeme cryptographlque 
tragable, il est possible de retrouver l'identlt§ du traTtre d partir de la cl§ 
personnelle mise en oeuvre par i'utlllsateur illiclte. 

25 Toutefols. les precedes de tragage de traitres de nature combinatoire 

pr6sentent l'lnconv§nlent qu'll est n6cessalre de diffuser un volume considerable 
d'en-tetes. Le nombre d'en-tates k diffuser est en partlculler proportlonnel au 
logarlthme du nombre d'utillsateurs legitimes du systeme aInsI qu'^ d'autres 
param6tres tel que la taille maximale k des coalitions de traitres centre lesquelles 

30 on cherche 6 se prot6ger. On entend id, par coalition, un groupe de k traTtres qui 
se regroupent pour combiner leurs cl6s personnelles de maniere d essayer de 
cr6er une nouvelle cle personnelle apte d §tre utills6e pour dechlffrer le contenu 
chlffr§ sans pour autant que l'6tude de cette nouvelle cle personnelle divulgue 
ridentite de I'un des traTtres. 
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invention vise ^ remedier a cet Inconvenient en proposant un 
nouveau proc6d6 de tragage des traTtres ne necessltant pas la diffusion d'un 
nombre important d'en-t§tes. 

L'Invention a done pour objet un proc6d6 de tragage des traTtres tel que 
5 d^crlt cl-dessus caracterls^ en ce que lors de la mise en ceuvre de la seconde 
fonction. la description math6matlque de cette seconde fonction i laquelle 
cheque d6codeur fait appel est dlff6rente d'un d6codeur ^ I'autre ou d'un groupe 
de decodeurs ^ I'autre de maniSre ce que la description math^matlque a 
laquelle il est fait appel Identlfie de fagon unique le decodeur ou un groupe de 
10 decodeurs particuller parmi I'ensemble des d6codeurs. 

Dans le proced6 ci-dessus. il est possible de retrouver le traltre qui a 
communique la description mathematique de sa seconde fonction secrfete a un 
utiiisateur lllicite ^ partir de Tanalyse de la description mathematique de cette 
seconde fonction mise en ceuvre par I'utlllsateur lllicite pour d6chiffrer les 
15 informations transmises. En effet. par construction de cheque description 
mathematique du systeme. celle-ci est representative de I'identlt6 du trattre. De 
plus, avec les proc6d6s comblnatolres. d cause du fait qu'un jeu personnel de 
cles est mis en ceuvre dans cheque d§codeur. il est n6cessaire que la m§me cl§ 
de chiffrement de contenu solt transmise plusieurs fois chiffree sous differentes 
20 formes. Les en-t§tes plac6s au d6but du contenu diffuse sont utilises a cet effet. 
Ainsi rinformatlon contenue dans les en-tetes est extremement redondante et 
chaque d§codeur ne tralte qu'une partie des en-tetes regus. 

Dans le proc6d§ cl-dessus grace au fait que I'identification d'un trattre 
repose non plus sur la mise ne oeuvre de jeux personnels de cl§s, mais sur la 
25 mise en oeuvre de descriptions differentes d'une m§me fonction cryptographique. 
identlque a la premiere fonction cryptographique ou 6 son Inverse mise en oeuvre 
par I'emetteur. il n'est plus n6cessalre qu'au molns une partie des Informations 
diffusees soit redondante. Par consequent, le nombre d'en-tStes n6cessalres 
pour diffuser un message chiffr6 a I'aide du proc6d6 ci-dessus est Inferieur au 
30 nombre d'en-tetes nScessaires pour diffuser le m§me message d I'aide d'un 
proc6d6 combinatoire. 

Suivant d'autres caract6ristiques du precede, celui-ci se caracterise en 

ce que : 
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- la seconde fonction cryptographique est apte § trailer des 
informations non redondantes ; 

- ladite description mathematlque Fkj enreglstr6e dans la m6moire de 
chiaque d^codeur est form6e de plusleurs fonctions 6l6mentalres G,j qui dolvent 

5 etre composees les unes avec les autres dans un ordre d6termln6 pour former 
ladite seconde fonction secrete. 

- chaque fonction §l§mentaire Gy est 6gale a la compos§e d'au moins 
trois fonctions selon Tune des relations suivantes : 

Gij = /"i.j ogoj(i)oS 

1® G2J = f2,jOgoj(2)Ofij 



Gr-1 j - /"r-l, J Ogaj (M) Ofr-2J 
Gr.J = Togoj(r)Ofr.ij 



ou : 

" ®iJ ®st la i§me fonction §lementaire du decodeur j. j etant un 
indice Identifiant un d6codeur ou un groupe de d§codeurs 

- les fonctions /jj et sont des fonctions pred§finles aptes a 
rendre non commutatives entre elles les fonctions elementaires Gg 

- o) est une permutation de I'ensemble d'Indices {1; ... ; r} unique 
20 pour chaque d6codeur ou groupe de decodeurs 

- goin) est la a^) I6me fonction d'un ensemble pr6d§fini form§ de r 
fonctions pred§finies gi non Iin6aires commutatives entre elles, et 

- S et T sont des fonctions pr§d6finles aptes d rendre difficile la 
cryptanalyse des fonctions 6l6mentaires respectivement Gij et Grj. 

- chaque fonction f y est egale a I'inverse f ~ ^ de la fonction f, , . 

ij ^ ' 

- les fonctions fij sont des fonctions lineaires d'un ensemble L" des n- 
uplets d'6l§ments d'un corps fini L sur lui-m§me ; 

- les fonctions S et T sont inversibles ; 

- les fonctions S et T sont des fonctions lineaires d'un ensemble L" des 
30 n-uplets d'^lements d'un corps fini L vers lui-m§me ; 

- les fonctions gi sont choisies de maniere a ce que chaque fonction 
el6mentaire Gij corresponde ^ un bloc de chiffrement d'un algorithme de 
chiffrement multivariables ; 
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- chaque fonction g, est de la forme g, (a) = a^' . oO a est un 6l6ment 
d'une I'extensidn L' de degre n d'un corps de base L ^ q Elements, et e,est un 
exposant predSfini ; 

- rexposant e, est de ja forme 1+/^ +...^./' +...+^^-1 .oO les 
5 exposants sont des entiers pr6definis. 

L'Invention a 6galement pour objet un support d'enregistrement 
d'infomiations. caracteris§ en ce qu'll comporte des Instructions pour {'execution 
d'un proc6d§ tragable confonne d I'Inventlon, lorsque ces instructions sont 
executees par un d6codeur. 

L'Invention a 6galement pour objet un support d'enregistrement 
d'infomiations. caract§rls6 en ce qu'll comporte des instructions pour I'ex^cution 
d'un proc6d6 tradable conforme § Tinvention. lorsque lesdites Instructions sont 
execut6es par un §metteur. 

L'inventlon a egalement pour objet un syst6me tradable de ciiiffrement 
et/ou de dechiffrement d'informatlons dlffus6es apte ^ permettre I'identification, 
parmi dlff6rents utilisateurs legitimes, d'un traTtre qui a communique a un tiers 
non autoris6 des Informations secretes de mani^re d ce que ce tiers puisse 
chiffrer et/ou d6chlffrer les infonnations diffus§es, ce syst6me comportant : 

- un emetteur propre d chiffrer les Infonnations diffus§es. cet 6metteur 
6tant apte i mettre en oeuvre au molns une premiere fonction cryptograpiilque 
secrete, et 

- plusieurs d6codeurs propres a dechlffrer les Informations dlffus6es, 
tous les d6codeurs §tant aptes a mettre en ceuvre au moins ^ une meme 
seconde fonction cryptograpiiique secrete Identique a ladite premiere fonction ou 

25 ^ son inverse, S cet effet, ciiaque decodeur §tant 6quip§ d'une m6molre dans 
laquelle est enreglstr6e une description mathematique de ladite seconde 
fonction; 

caracterise en ce que la m6moire de chaque decodeur contient une 
description mathematique de ladite seconde fonction dlff6rente de celle 
30 enreglstr6e dans la m6molre des autres d6codeurs ou dans la m§molre des 
autres groupes de decodeurs de mani§re ^ ce que cette description 
mathematique identifie de fagon unique le decodeur ou un groupe de decodeurs 
partlculier parmI I'ensemble des decodeurs. 
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Finalement. rinvention a 6galement pour objet une m6moire destin6e ^ 
etre assocl^e ^ un d6codeur d'un systems tradable de chiffrement et/ou de 
d^chlffrement conforms a rinvention. caract6ris6e en ce qu'elle comporte una 
description mathematlque equivalents de ladite seconds fonctlon secrete proprs 
5 ^ me utilisee par le d^codsu, cstte description mathematlque se composant de 
Piuslsurs fonctions 6l6mentaires (G,) dont chacune est 6gale ^ la compos^e 
d'au molns trols fonctions selon I'une des relations suivantes : 
GiJ = /'i,jogoj(i)OS 

G2J = /'2,jOgoJ(2)Of,j 

Gr-1 j = fr-1, j Ogc^ (M) Ofr-Zi 
Gr.j = Tog,^(r)OfMJ 

oil : 

- G,j est la 16ms fonction 6lemsntaire du d^codeur j. j 6tant un indlcs 
identifiant un d§codsur ou un groups ds dscodsurs 

- Iss fonctions /ijst f.j sont dss fonctions pr6definles aptes a rendre non 
commutativss sntre sliss Iss fonctions 6lementalres Qj 

- ajest une permutation ds I'ensemble d'Indices {1; ... ; r} unique pour 
chaque d6codeur ou groups ds d6codsurs 

- goj(t)est la o)(„ I6me fonctlon d'un ensemble secret pr§d6finl form6 de r 
fonctions pr6d6flnles g, non Iin6aires commutatlves entre elles. et 

- S et T sont des fonctions pr§d6finies aptes ^ rendre difficiiss la 
cryptanalyss des fonctions 6l6mentalres respsctivsmsnt Gij st Grj. 

L'invsntion ssra mieux comprise ^ la lecture de la description qui va 
suivre. donn6e uniquement a titre d'exsmpis st faits sn ss referant aux dessins 
sur lesquels : 

- la figure 1 est uns illustration schematiqus ds I'archltscturs d'un 
systems cryptographiqus tragabis conforms a Tinvsntion. et 

- la figurs 2 sst un organigramms d'un proc6d6 de tragage des traTtrss 
30 conforms a rinvention. 

La figurs 1 rsprsssnts un systems cryptographlque tragabls. designs 
par la r6f6rence g6n6rale 2. Ce syst6me 2 comporte un emetteur 4 d'Infomiatlons 
ch,ffr6es. un r6seau 6 de transmission d'Informations. et des d6codeurs proprss ^ 
d6chiffrsr Iss Infomiations chiffr6ss dlffus6es par I'6metteur4 au travsrs du 
35 rsssau 6. Le syst6me 2 comporte N d6codeurs. N 6tant un nombrs sntisr 
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superieur a 100. 1000 ou plus. Ici. pour simplifier rillustration. seul un decodeur 8 
a ete repr6sente. Les autres d6codeurs non represents sont. par exemple 
.dentiques au decodeur 8. Dans la suite de la description, ce d6codeur 8 esi 

associ6 a Tindice j. 

5 A titre d'exemple. I'emetteur 4 est un 6metteur de chaTnes de television 

payantes. Get 6metteur 4 comporte un module 10 de chiffrement d'un contenu B 
et un module 12 de calcul d'un mot de contr6le CWa. Le contenu B3 est Id form6 
d'une succession de bits d'informations repr6sentant des chames de television en 
Clair, c'est-^-dlre non chiffrees. 

10 Le module 12 est apte ^ executor une fonctlon cryptographique d6finie 

par une description mathematique Fk. Cette fonctlon cryptographique est 
destlnee a traiter directement un en-tete EB. code sur n caracteres pour le 
transformer en un mot de controle CWa code egalement sur n caracteres. n etant 
un entier strictement positif superieur. par exemple, ^ 100. Ici. ^ tItre d'exemple. 

15 chaque caractere est solt un "0" soit un "1". 

A cet effet. I'emetteur 4 est associe d une memoire 14 dans laquelle 
est enreglstree la description mathematique Fk de la fonction cryptographique 
Une description mathematique est un ensemble d'informations determinant la 
suite exacte d'op6rations mathematlques S effectuer pour calculer. pour toute 

20 valeur d'entree. la valeur de sortie correspondante de cette fonction sans 
qu'aucune autre valeur que la valeur d'entree de la fonction n'ait ^ etre foumie au 
programme pour effectuer les calculs. Cette description Fk est enreglstree dans 
la memoire 14 dans un format directement exploitable par I'emetteur pour que le 
module 12 puisse realiser. a partir de cette description, sa fonction 

t5 cryptographique. Par exemple. ici. la description Fk est une suite d'instructlons 
formant un programme informatique. Toutefois. dans la suite de cette description 
les descriptions mathematlques des fonctlons seront unlquement representees 
sous la forme de relations mathematlques exprimees a I'aide de symboles 
conventionnels. En effet. le ou les programmes informatiques correspondent aux 

0 relations mathematlques d6crites par la suite sont aisement realisables. 

La description Fk sera decrite plus en detail en regard de la figure 2. 
Le module 10 est apte e executer une fonction de chiffrement E 
parametree par le mot de contrdle CWa construit par le module 12. pour chlffrer le 
contenu Ba et deiivrer en sortie un contenu chiffre CBa correspondent. La fonction 
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de chlffrement E est ici une fonction de chiffrement conventionnelle inversible. 
Par exemple. il s'agit de ralgorithme de chiffrement AES (Advanced Encryption 
Standard) ou de I'algorithme de chiffrement connu sous le terme de "one time 
pad". 

5 Pour chaque contenu Ba chiffr6 ^ I'alde du mot de contrSIe CWa par le 

module 10. r^metteur 4 est apte d diffuser vers I'ensemble des d6codeurs du 
syst6me. un couple d'jnformations. Ce couple d'informations est form6 par Pen- 
tete EBa et par le contenu chlffr§ CBa. 

Pour d6chlffrer les infomiations transmlses ou diffusees par l'6metteur 

10 4 au travers du r6seau 6, le d6codeur 8 comporte un module 20 de calcul du mot 
de contreie CWaet un module 22 de d6chiffrement du contenu chiffre CBa. 

Le module 20 est apte ^ ex6cuter une fonction cryptographique. Cette 
fonction est deflnie par une description mathematique Fkj dlff6rente de la 
description Fk. Plus precis6ment cette description Fkj est dlff6rente de toutes les 

15 descriptions Fk} mises en oeuvre dans les autres decodeurs du syst6me 2. 
Toutefois. bien que la description math§matlque Fk) soit differente de la 
description Fk. la fonction qu'elle d6flnit est la m§me. Par cons§quent. la 
transformation de l'en-t§te EBa par le module 20 permet d'obtenir le mot de 
controle CWa. c'est-^i-dlre le m6me que celui qui auralt §t6 obtenu S I'aide du 

20 module 12. Dans ces conditions, la description Fkj est dite equlvalente a la 
description Fk. 

De fagon similaire ^ r^metteur 4, le decodeur 8 est associe a une 
m§molre 21 dans laquelle est enreglstr^e la description math§matique Fkj. 

La description Fkj sera decrite plus en detail en regard de la figure 2. 

"-e module 22 est apte S ex§cuter une fonction de d6chiffrement D. 
Cette fonction D est I'inverse de la fonction E et permet done de d§chiffrer le 
contenu CBa, a I'aide du mot de contrdle CWa constrult par le module 20 a partir 
de ren-t§te regu EBa. 

Le d6codeur 8 est egalement propre § transmettre le contenu Ba 
30 d§chiffr6 par le module 22 a un poste de t6l6vlsion 26 sur lequel il sera affich6 en 
clalr. 

L'emetteur 4 et chacun des d§codeurs sont r6alls6s S partir de 
calculateurs programmables conventionnels aptes & ex6cuter des instructions 
enregistrees sur un support d'enreglstrement d'informations. A cet effet, les 
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m6molres 14 et 21 contlennent. en plus des param6tres secrets pour chfffrer et 
d^chlffrer les Informations transmises. des instructions pour Tex^cution du 
precede de la figure 2. 

Le fonctionnement du syst6me 2 va malntenant Stre decrit en regard 
5 du proc6d6 de la figure 2. 

Le proc§d6 de la figure 2 se decompose en trols phases principales 
Une phase 50 d'inltlalisation du syst6me 2. une phase 52 d'utilisation du syst^me 
2 et finalement une phase 54 de recherche d'un traTtre parmi les diff^rents 
utilisateurs legitimes du systdme 2. 

10 1^ phase 50 d6bute par une 6tape 60 de construction de la description 

math6matique Fk. A cet effet. r fonctlons non lineaires g, sont construltes. lors 
d'une operation 62. r etant un nombre entier strlctement positif . Le nombre r de 
fonctlons g, est choisi de maniere a verifier la relation suivante : 

(1) N<r! 

°^ N est le nombre de d^codeurs du syst§me 2. 

Ces fonctlons g, sont construites de manl^re d §tre commutatlves entre 
elles. par I'operation de composition, de telle sorte que la relation suivante est 
verifiee : 

(2) VI, l€{1 r}. i;*| giog, = g,og, 

20 oD le symbole o repr6sente l'op6ratlon de composition de deux 

fonctlons mathematlques. 

Ici. chacune de ces fonctlons est une fonction non lln^aire transformant 
un n - uplet en un autre n - uplet. Par n - uplet on designs ici un ensemble de n 
Elements. Par exemple I'ensemble des n coefficients d'un polynome de degr6 

25 (n-1 ) peut etre vu comme un n - uplet, 

Ainsi. chaque fonction g, admet n variables d'entree et restltue en sortie 
n variables calcul6es. Elles con-espondent. ici, chacune S un systeme de n 
equations non lineaires i, n variables, n est un entier strictement positif qui 
correspond ici au nombre de caractSres de ren-t§te EBa. 

30 Ici, chaque fonction g, est choisle pour former un bloc de chlffrement G, 

d'un algorithme de chlffrement multivariables lorsqu'elle est compos6e a droite et 
^ gauche avec des fonctlons lineaires. Un exemple d'algorithme de chlffrement 
multivariables est, par exemple. I'algorithme C* propose par Matsumoto et Imal 
dans (Tsutomu Matsumoto and Hideki Imal. Public Quadratic Polynomial-tuples 
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for Efficient Signature Verification and Message Encryption. Advances In 
Cryptology - EUROCRYPT '88 (Cristoph G. GQnther. e d.). Lecture Notes In 
Computer Science, vol. 330. Springer. 1988. pp. 419 - 453). D'autres exemples 
d'aigorithmes de chlffrement multivarlables sont les algorlthmes connus sous les 
5 termes de SPLASH v2 (Le projet NESSIE. New European Schemes for 
Signatures. Integrity and Encryption) et HPE (PATARIN Jacques Hidden Fields 
Equations (HPE) and Isomorphisms of Polynomyals (IP) : two new families of 
Asymmetric Algorithms - Eurocrypt 96. Springer Verlag. pp. 33-48 ). 

De manldre d obtenir ^ partir des g, une description a la fois simple et 
compacte des blocs de chlffrement G, qui en decoulent, les fonctlons g, sont 
choisles comme 6tant des fonctlons monomiales, appel§es monomes. 

Id, ^ titre d'exemple. chacune des fonctlons g, opdre sur les §lements 
d'une extension L' de degr6 n d'un corps de base L ^ q Elements. Par exemple. 
id. q = 2 et L = {o,l} 

L'extenslon V est repr6sent6e comme I'ensemble des polynomes de la 



30 



forme 



n-l 
f»0 



ou : 

- les coefficients sont des elements du corps L. 
20 - rindlce I est un entler, et 

- X est une variable. 

L'extenslon L' est munie de I'addition de polynomes et de la 
multiplication modulo un polynome in-§ductible de degre n defini par la relation 
sulvante : P{x) = Zp, x' 



n-l 

z 

25 oCi : 



- les coefficients p, sont des elements pr6d6finls du corps L, et, 

- X est une variable. 

A tItre d'exemple, les fonctlons ^,sont des fonctlons de l'extenslon L' 
dans ['extension L' de la forme : gf(a)=a' 



.,.^>=-'" 

oQ : 

- a est un Element de l'extenslon L', et 

- I'exposant ej est un entier pr6definl de la forme 
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1 + /' +...+/ +...+g^-\ oCi q est le nombre d'6l6ments du cxjrps L et les 
exposants Sisont des entiers pr6d6finls. 

Ici, d est choisi 6gal ^ 2 de sorte que I'exposant e,de chacune des 
fonctionsg,estde la forme 1 +^*' 
5 L'avantage d'un exposant e,de cette forme est que si I'on Identifie 

cheque §l6ment a de I'extension L' aux n - uplets ( a,, a^ a„_,) de 

coefRcients. chacun des coefficients b, , b,_,b ^, de Tel^ment b de I'extension U 
defini par la relation b= g, (a) s'ecrit comme une fonction de degr6 seulement d 
des coefRcients a„, a,.„, a„_, de a. C'est-^-dire, Ici, comme une fonction 
10 quadratlque dans le cas partlcuiier oCi d est egal a 2. Dans ce cas particulier, 
cheque coefficient b, peut s'6crire sous la forme de la fonction quadratlque 
suivante : 

bi= (Co ao + ...+ Cn-1 an-l) + (Co.1 aoai + ... + Co,n-1 aoQn-d + (Cl.2ai a2+ ... + c1.n-1 ai 
an-l) + ... + Cn-2,n-1 80-2 an-l 

°^ 'es n coefficients c„et les n(n-1)/2 coefRcients Cu.v sont des 
constantes appartenant au corps L. 

Ainsi, grace a la forme de I'exposant choisi, la description 
mathematique de cheque fonction g, est compacte et ais6ment enregistrable 
dans une mSmolre. 

20 Ensuite, lors d'une op6ration 64, deux fonctions S et T de L" sur L" sont 

choisles, oCi L" est I'ensemble des n - uplets form6s d'§l6ments du corps L. De 
preference, ces fonctions S et T sont des fonctions inversibles linealres. 

Par exemple. la description math6matique de chacune de ces fonctions 
S et T est une matrice de n Elements par n Elements, chacun de ces 6l6ments 

25 appartenant au corps L. 

Ensuite, la description Fk est construite lors d'une operation 66, en 
composant les fonctions gi et les fonctions S et T de la fagon suivante : 
(3) Fk = To gr o gr.io ....ogz ogioS. 

Aprds avoir construit la description Fk, le proc6d§ se poursult par une 
30 etape 70 de construction pour cheque decodeur de la description 6quivalente Fkj. 
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Lors de cette §tape 70, pour chaque d6codeur j du systeme, une 
permutation unique de I'ensemble {1.2. .... r > sur lui-m§me est d6finie lors 
d'une operation 72. Cette permutation aj est, par example, solt construlte par 
tirage au sort, soit d§duite d partir de I'indice j Identlflant le d6codeur et d'un 
5 param§tre secret M. 

On notera qu'il est possible de construire une permutation unique pour 
chaque decodeur du systeme car la relation (1) est v6rlfl6e. 

Ensulte, lors d'une operation 74. r-1 bijections f,.j. sont cholsies pour 
rutillsateur j. Chacune de ces bijections fij est une fonction inversible de 
10 rensemble L" sur lui-meme. Ces bijections f,j sont. par exemple. d6crites ^ I'aide 
d'une matrice de n 6l6ments par n elements, chacun de ces Elements 
appartenant au corps L. 

Par exemple, lors de cette operation 74, les bijections f,.j sont cholsies 
par tirage au sort dans I'ensemble des applications lin§aires invereibles de 
15 rensemble L" dans lui-meme. Une autre possibility est de deduire chacune de 
ces bijections f,,,. d partir de I'indice j du d6codeur et du parametre secret M. 

Finalement, lors d'une operation 76, la description math6matique Fk] 
est construite. A cet effet. r fonctlons 6l§mentaires G,.j sont construites pour le 
d§codeur j. Ces fonctions G,,j sont construites en composant les fonctions S. T. 
20 /j.j et 91 de la fagon suivante : 



-1 



(4) Gij = fj ^.,ogoj(i)oS 



-1 



®2J = f .. Ogoj(2)Ofij 

25 Gr-1 J = f;lij, OQoi (M) Off-aj 

Gr.J = Togoj(r)/;..ij 
Oil 

- r\i est rinverse de la bijectlon ^j. et 

- 9oi{t)' et la fonction gi dont I'indice i est 6gal au permute de I'indice t 
30 par la pemnutation aj de I'utllisateur j, t appartenant a rensemble {1,2 r}. 

La propriety de la fonction g, selon laquelle chaque coefficient b,de 
r§lement b de I'extenslon L' d6fini par la relation b = g, (a) peut s'ecrire comme 
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un polynome de degre seulement d est conserves lorsque la fonctlon g, est 
compos^e ^ droite et ^ gauche par des bijections ou fonctlons lln^aires. Par 
consequent, les composantes de r6I6ment y de L" d6flnl par la relation 
y-G,j W peuvent 6tre d^crltes par un polynome de degre seulement d des 
5 composantes de r6l6ment x de L". Par exemple. lorsque d est 6gal a 2. la 
composante y, est d^flnie a I'alde de la description math6matlque suivante : 

y.= (Co Xo + ... + C„.i Xn-i) + (Co, Xo Xi + ... + c'o.M Xo X„.,) + (c'l.^ Xi X^ + ... + 
1 Xi Xn-i) +...+ C'n.2.n-1 Xn.2 Xn-1 

oD les n coefficients c'„et les n (n-1)/2 coefficients C.v sont des 
10 constantes appartenant au corps L. 

Ainsl. grace au choix d'exposant e,de la fomie 1 ia description 

math6matique de chaque fonctlon 6l6mentaire G,, est simple et compacte et 
occupe done peu de place dans une memoire. En particuller. dans le mode de 
realisation decrit ici. la description math6matlque de chaque fonction 
elementairec?,, est un syst6me de n equations non llneaires k n variables. 

La description F^est form6e par ces r fonctlons elementaires G,^ . En 
efTet. en traltant un message d'entr^e S I'alde de la relation (5) : = G.j o G., j o 
... 0G2, 0G1J on obtient exactement le m§me message de sortie que celul qui 
aurait 6t6 obtenu ^ I'aide de la description F,. L'6quivalence des descriptions 
math^matlqueF^ et F.est alsee a verifier en remplagant dans la relation 
pr6c6dente chaque fonction elementaire G„ par sa definition donnee par la 
relation (4). En faisant cel^ dans la relation pr6c6dente, on obtient : 

Fkj = To ga|(r)Ogaj(r-1)O...Ogoj(2)Ogoj(i)OS 

Puisque I'ensemble des fonctions g, sont commutatlves entre elies on 
demontre ainsi que la description Fkj est equivalente d la description Fk. 

On comprend done que la fonction des bijections f,j est de rendre non 
commutatlves entre eiles les fonctions 6l6mentaires G,,. D6s lors. pour obtenir 
une description Equivalente h la description Fk. les fonctions 6l6mentalres G,j ne 
peuvent §tre compos6es les unes avec les autres que dans I'ordre croissant de 
30 leur indice i comme dans la relation (5). 



15 



20 



25 
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De plus, la robustesse du systems centre toute tentative de crypt- 
analyse repose, dans le mode de realisation particuller d6crit Ici. sur la difficult^ 
du probleme d'isomorphlsme de polynome egalement connu sous le terme de 
problems IP. En effet. connaissant les fonctions G.j. II est mathematiquement tr6s 
5 difficle. m^me en connaissant I'ensemble des fonctions g, ^ g, d'ldentlfler les 
valeurs a,(i) pulsque des fonctions Inconnues sont utilisees dans chaque fonction 
elementaire G,j pour les camoufler par composition a drolte et ^ gauche Ici ces 
fonctions Inconnues sont les fonctions S et T qui sont gardees secretes et les 
buections f,, Des lors. 11 n'est pas possible pour un utillsateur iilicite en 
10 possession d'un jeu de fonctions ^lementaires G,, vaiides. de construire un 
nouveau jeu de fonctions el^mentaires G',, dans lequel la relation d'ordre definle 
par entre les fonctions g, n'est pas conservee. Autrement dit. pulsque 
I'utilisateur Iilicite n'est pas capable de retrouver les fonctions S. T et f,.j ^ partir 
des fonctions elementaires G,., il doit se contenter de modifier la description 
15 math^matique de chaque fonction 6l6mentaire G,,. sans pour autant pouvoir 
modifier I'ordre dans lequel ces fonctions 6l6mentalres dolvent etre combln6es 
A.ns.. pulsque Tordre dans lequel les fonctions 6l6mentalres G\, sont comblnees 
n'est pas modlfl6. I'ordre dans lequel les fonctions g, sont combin^es n'est pas 
non plus modlfi6. L'lnt6r§t de cette propri6te apparaTtra 6 la lecture de la suite de 
20 la description. 

Una fois les fonctions elementaires G,, construites pour chaque 
utillsateur j du syst^me 2. celles ci sont distributes et enreglstrtes. lors d'une 
etape 80. dans la m6moire 21 de chaque d6codeur 8. sous la fomie. par 
exemple, d'un programme Infomiatlque. 

25 De plus, lors de cette 6tape 80. des Informations n6cessaires en vue 

d'extcuter la phase 54 de recherche d'un traTtre sont. par exemple. enregistrees 
dans la mtmolre 14. En particuller. I'ensemble des fonctions utilisees pour 
construire chaque fonction 6l6mentalre G,, est enregistr6 dans cette memoire 
14 ainsi que chacune des permutations a, utilisees. La relation entre chaque 

30 pemiutation a,et le decodeur pour lequel elle a 6t6 utilis6e est enreglstr6e. De 
m§me. une relation permettant d'identlfier un utillsateur a partir de I'identite du 
d6codeur est enreglstr6e dans cette m6molre 14. 
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Une fois que ies fonctions G,,ont 6te enregistrees dans la m6molre de 
cheque d6codeur 8. la phase 52 d'utlllsatlon du systeme 2 peut d6buter 

Lors de cette phase 52. 1'^metteur 4 tire au sort, lors d'une etape 84 a 
intervalle reguller. par exemple toutes Ies secondes. un nouvel en-tite EBa 
5 Get en-tgte EBa est transforme. lors d'une etape 86. ^ raide de la 

description Fk. par le module 12 afin d'obtenir le mot de controle CW^. 

Ensulte. le contenu Ba est chiffr6 par le module 10. lors d'une etape 88 
a I aide de la fonction E et du mot de controle CW3. Le contenu ainsi chiffr6 CB^ 
et ren-tete EB3 utilise a cet effet sont alors diffuses conjointement. lor^ d'une 
10 6tape 90. par Temetteur 4. au travers du r^seau 8 et a destination de I'ensemble 
des decodeurs du systeme 2. 

Lors de la reception des informations chiffr6es. chaque d§codeur 
procede d'abord ^ une 6tape 92 de calcul du mot de contrSle CWa ^ partir de 
I'en-tete regu EBa. Lors de cette etape. le module 20 utilise successivement et 
15 dans I'ordre chacune des fonctions 6l6mentaires G,.j enregistrees dans sa 
memoire 21. de mani^re ^ effectuer le calcul correspondant a la composes des 
fonctions 6l6mentaires Gi.j selon la relation (5). 

A I'issue de cette 6tape 92. le module 20 delivre en sortie le m§me mot 
de contrdle CWa que celul construit par le module 12 de I'emetteur 4. 
20 A I'alde de ce mot de controle CWa et de la fonction D. le module 22 

d^chiffre. lors d'une 6tape 94. le contenu chiffre regu CB. Le contenu d6chiffr6 
Ba del,vr6 par le module 22 est alors transmis pour affichage en clair. par 
exemple, sur le poste de t6l6vision 26. 

Les etapes 84 S 94 sont reit6r6es pendant toute la phase d'utilisation 
du systeme 2 pour chaque infomiation ou trame d'informations diffus6e par 
remetteur 4. 

Pour la suite de la description, il est suppose que rutilisateur du 
decodeur j a transmis a un utillsateur illicite son jeu de fonctions 6lementaires 
G,.j. de mani6re a ce que cet utilisateur Illicite puisse utillser un d6codeur pirate 
30 pour d^chlffrer les infomiations diffus6es par I'emetteur 4. sans avoir a payer par 
exemple. un abonnement. L'utilisateur du decodeur j est done le traTtre puisqu'il a 
transmis ill6galement et illicitement les informations secretes permettant de 
dechiffrer les infomiations diffusees par I'emetteur 4. 



25 

I'emetteur 4 
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La phase 54 de recherche du traTtre debute par la salsie et I'analyse 
lors d'une 6tape 1 00. du d^codeur pirate de I'utilisateur llllcite. Lors de cette 6tape 
100. l-anaiyse du decodeur est r6alis6e de manl6re ^ retrouver dans celul-ci les 
fonctions el^mentaires G,.j qui lui ont 6t6 corT,munlqu6es illicitement par le traTtre 
5 ainsi que I'ordre dans lequel ces fonctions G,j sont combin6es pour transformer 
I en-tete EBa regu en un mot de contrdle CWa . 

Les fonctions 6lementaires retrouv6es dans le decodeur pirate sont 
not^es Id G..P oO I'indice i Indique I'ordre dans lequel ces fonctions el^mentalres 
sont utills§es pour transformer le mot de contrdle EBa. 
10 Ensuite. chaque fonction G,p est analyses lors d'une 6tape 102 pour 

retrouver la fonction g, a partir de laquelle elle a 6te construite. Une telle analyse 
est possible, par exemple. pour rop6rateur du systeme 2. pulsque celui-ci connaTt 
les fonctions S. T. f, et g, utilisees pour construire les fonctions 6l6mentaires G, , 
de chaque utilisateur du systdme. 

15 Ainsi. a Tissue de l'6tape 102. 1'operateur du systeme 2 est capable de 

dire que la fonction el6mentaire G,p a 6t6 construite ^ partir de la fonction g. 
que la fonction 6lementaire G^.p a 6t6 construite S partir de la fonction g„ et ainsi 
de suite pour chacune des fonctions G,.p. oC les indices m et n des fonctions g. et 
g„ representee I'indice de la fonction g, utllis6e pour construire respectivement 

20 Gi,p et G2,p. 

A partir de ces informations. l'op6rateur est done capable de 
reconstmire. lors d'une 6tape 104 la permutation a, utilis^e lors de la construction 
des fonctions 6l6mentaires G,p utilisees dans le decodeur pirate. Une fois cette 
pemiutation a, reconstruite. celle-ci est compar6e. lors d'une 6tape 106 aux 
25 differentes permutations enregistrees dans la m6moire 14. lors de l'6tape 80.' 

Grace 6 cela. le traTtre. c'est a dire id I'utilisateur du decodeur j est 
.dentifie. pulsque dans le systeme 2. chaque permutation correspond 6 un seul 
decodeur, lui-m§me assocl6 d un seul utilisateur. 

Ce systeme et ce proc6d6 s'averent done particuliSrement dissuasifs 
30 pour empgcher des utillsateurs legitimes de communiquer les Informations 
necessaires au d§chiffrement des contenus chlffr6s CBa. 

Des 6tudes de robustesse du proc6de de la figure 2 centre des 
tentatlves de crypt-analyses ont 6t6 menses. Ces etudes ont montr6 en 
partlculler. que le systfeme et le precede de la figure 2 resistent a des attaques 



10 
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men6es par une coalition de k traTtres. k §tant un entier positif superieur a deux. 
Par coalition de k traTtres. on designe ici un groupe de k utilisateurs legitimes qui 
essaient de construire, en mettant en commun leurs jeux respectifs de fonctlons 
el^mentaires Gi.j une nouvelle description 6quivalente de la fonction Fk. II a 6t6 
montre que ces utilisateurs illicites peuvent au mieux construire ^ partir de ces k 
jeux de fonctions §lementaires G,,j. une fonction faisant intervenir un ou plusieurs 
nouveaux jeux de fonctions 6l6mentaires G,,p. Toutefois, tout nouveau jeu de 
fonctions el6mentaires G,,p r6sulte de la comblnalson de sequences successlves 
de fonctions 6l§nnentaires G,,j extraites dans chacun des jeux de fonctions 
6l6mentaires d sa disposition. Par exemple, dans le cas d'une coalition de deux 
traTtres. le nouveau jeu de fonctions 6l6mentaires G|,p que pourrait construire un 
utilisateur illlcite, se composeralt des p premieres fonctions el6mentaires {G^,^, 

Gp.i } du prennier traTtre et des r-p dernidres fonctions el§mentaires 

^^p*^'2 Gr.2} du second traTtre. Pour lutter centre une telle tentative de 

15 camouflage de I'identite du traTtre, le nombre r de fonctions g, sera choisi 
suffisamment grand pour qu'au moins un traTtre puisse §tre identifie uniquement 
^ partir de I'identification. lors de la phase 54, d'une partie seulement de la 
permutation aj qui a 6t6 utilis§e pour construire son jeu de fonctions 6Iementaires 
Gi.j. Par exemple. dans le cas de la coalition de deux traTtres. r sera choisi 
20 suffisamment grand pour qu'au moins un des deux traTtres puisse §tre identifi§ 
solt k partir des p premieres fonctions 6l6mentalres Gi.i soit d partir des r-p 
demidres fonctions el6mentaires Gi.a. 

On remarquera que dans le precede ci-dessus, les memes 
informations secrdtes, c'est-S-dire ici les fonctions cryptographiques associees 
25 aux descriptions Fk, Fkj sent utilisees pour chiffrer et d§chiffrer. de sorte que le 
proc6de de chiffrement decrit pr6sente les m§mes caracteristiques qu'un 
algorithme de chiffrement sym6trique. En particulier, grace a cette propri6te. le 
proc§d6 decrit ici est plus rapide qu'un algorithme de chiffrement asym6trique, 

Ici, les fonctions S, T, fij, doivent etre gardees secretes, tandis que les 
30 fonctions gi sent eventuellement publiques. 

Dans le systdme 2. seule une m§me fonction de calcul du mot de 
contrdle CWa est utllis6e aussi bien dans l'§metteur 4 que dans les decodeurs. 
D§s lors, cette fonction cryptographique n'a pas besoin d'§tre inversible ce qui 
facllite le choix et la construction des fonctions gi. Toutefois. en variante. la 
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description Fk correspond ^ une fonction de chiffrement et les descriptions 
correspondent ^ i'inverse de cette fonction de chiffrement. Dans cette variants 
les differentes descriptions. F^ implant6es dans les dlff6rents d6codeure dii 
systems sont 6quivalentes les unes des autres et sont des descriptions 
5 equivalentes de I'inverse de la fonction d6flnie par la description Fk- Ce qui a 6t6 
precedemment d6crlt pour construire ies descriptions F^ s'applique ^ la 
difference pr6s que ies fonctions g, doivent fitre Inversibles dans cette variants 
Dans ce cas, ia description Fk est. par exempie. utilisee pour chiffrsr directement 
le contenu Ba tandis que les descriptions 6quivalentss Fkj sont utiiis6es pour 
10 dechiffrer directement les contenus chiffr^s CBa. 

Id. ia fonction cryptograph iqus corrsspondant aux dsscriptions Fk et 
Fkj transfomie un message initial cod6 sur n caractere en un message 
transforms cods ^gaismsnt sur is msms nombre de caracteres. Cette fonction 
cryptographique n'augments pas la tailie du message transfonn6 par rapport h 
15 ceils du messags initial contrairsment a ce qui est constats, par exempie. dans ie 
cas des algorithmss asymetrlques. En variante. la fonction cryptographique 
augmente ia taiiie du message transform^ par rapport d celle du message initial 
On remarquera cependant que dans cette variante cette augmentation en taiiie 
reste ind6pendante du nombre de traTtres. 
20 Le systdme 2 a et6 d6crlt dans ie cas particulier oD uns description Fkj 

est assocl6e a un unique decodeur. En variants, uns meme dsscription Fkj est 
associ6e ^ un groupe de d6codeurs. Dans cette variante. i'ensemble des 
decodeurs du syst6me 2 sont regroupes en plusleurs groupes. de sorte que la 
description Fkj identifie non pas un d6codeur particulier mais le groupe auquei 
25 appartient ce decodeur particulier. 
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REVENDICATinKiQ 

1. Precede tragable de chlffrement et/ou de dechiffrement 
d .nforrnat.ons dlffus.es par au molns un ametteur vers plusleurs d.codeurs ce 
proced. permettant d'identifier parml dlff.rents utlHsateurs legitimes des 
5 deco eurs un tra.tre qui a communique . un tiers non autoris. des Informations 
secretes de mani.re . ce que ce «ers puisse chiffrer et/ou d.chiffrer ,e 
informations diffus6es par l'6metteur. 
dans lequel : 

- tars du chlffremem des informattons diffus^es, r^metteur met en 
10 CBUvre (en 86) au moins une p,em»re fonotion c^tographique secr^e et 

- tars du d^iffrement de ces intormattons diffuses, tous les 
decodeur. nne«en, en c.uvre (en 92) au ™ins une mSme seconde fbnc«on 
cwtographique secr«e idenUque i ladite premium fonction ou 4 son Inverse 

15 ir"' ' ' "™ '^"^^^ ma.h.ma.k,ue de 

15 ladite seconde fonctton enregisWe dans une mSmoire (21), 

'=^'^<=***^«''<=«<l"«l<"sdelan,iseenoeuv,«'(en92)delaseconde 
foncbon, la descripHon math^matique de cette seoonde fonction ^ laquelle 
cheque d^codeur fait appel est diff^nte d'un d^deur . l^autre ou d'un groupe 

20 T t"^""/ ' ""^ ^^-^P"- -ath^matique . 

20 laque ,e „ est fait appei idenflfle de fa^on unique ie d^codeur ou un groupe de 

dScodeurs particuiler parml i'ensembie des dScodeurs. 

2. Proc6d6 selon la revendication 1 , caract^risS en ce que ia seconde 
fbncfon cryptographique est apte 4 traitor des informatiohs non redondantes 

3. ProcedS selon la revendicatton 1 ou 2, caractSris6 en ce que ladite 
description math^matique (Fk,) enregistr^e dans la mSmoIre de cliaque d^codeur 
est fornn^e de plusleurs fonctions 6l6mentaires (Gy) qui doivent Stre compos6es 
es unes avec les autres darrs un ord™ d^termln^ pour fonner ladite seconde 
fonction secrete. 

revendication 3, camctSrisS en ce que cheque 
forictron ilementaire (G,) est ^ale ^ la compos^e d'au molns trois fonctions 
selon I une des relations suivantes : 



25 



30 



35 



Gij = /'i.jogoj(i,oS 

G2j-/'2,jOgoj(2)Ofij 
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15 



20 



20 



Gr-1J-/'r.l.jOg«j(r-1)0/',.2j 
<^r.I = T0g^(r)0fMJ 



oD : 



25 



30 



idenWiant un deoodeur ou un groups de d^codeurs 

n„„ . " . T ^' ''" Pr6d6finlas aptes H rendre 

non commutatives entre elles les fbnctlons 6l6mer.talrBs Gu 

cheque d6codeurougroupeded6oodeure / m p ur 

- 9m est la o)„ teme fbnctlon d-un ensemble pr«d4fini fonn6 de r 
fonotions prSd6finles g, non llnfeires commutatlves entre elles, et 

crvnt^n I " V7 "^"^ P'^^nles aptes i rendre difficile la 

cryptanalyse des foncUons 6l6mentaires respectivement G,j et G.j 

5. Proc&JS selon la revendication 4 ou S, ca,actSrls6 en ce que chaque 
fonction f,j est Sgale d Inverse de la fbnctlon f,j . 

6 Proc6d6 selon la revendicaUon 4 ou 5, caract6ris6 en ce que les 

d el§ments d'un corps fini (L) sur lui-meme. 

7. Precede selon I'une quelconque des revendications 4 S 6 
caracterise en ce que les fonctlons S et T sent inversibles. 

8. Proc^de selon Tune quelconque des revendications 4 S 7 
caractens. en ce que les fonctions S et T sont des fonctlons llnealres d'un 
ensemble (L ) des n-uplets d'6l6ments d'un corps finI (L) vers lul-meme 

9. Proc6d6 selon I'une quelconque des revendications 4 a 8 
caract^rls. en ce que les fonctlons g, sont cholsies de mani.re a ce que chaque 
foncfon el6mentalre G, corresponde , un bloc de chiffrement d'un algorithme de 
chiffrement multlvaitebles. 

10. Proc6d6 selon I'une quelconque des revendications 4 I, 9 
caraot^ris. en ce que chaque fonction g, es, de la forme g, (a) = a" . oC, a est un 
element dune I'extension U de degr* n d'un corps de base L q ^l^ments et 

e, est un exposant predefinl. 
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11. Proc6de selon la revendlcation 10. caracteris6 en ce que I'exposant 

ei est de la forme 1+^^ + ^ ^ 4. • 

^ i+q ,ou ies exposants 0, sont des 

entlers pred^finis. 

12. Support d'enreglstrement d'Informations (21). caracteris6 en ce 
5 qu'il comporte des instructions pour l'ex6cution d'un proc6d6 tragable de 

chiffrement et/ou de dechiffrement selon Tune quelconque des revendicatlons 
precedentes. lorsque ces Instructions sont ex6cut6es par un d§codeur. 

13. Support d'enreglstrement d'informations (14), caract6ris6 en ce qu'il 
comporte des instructions pour rex6cution d'un precede tragable de chiffrement 
et/ou de dechiffrement d'Informations selon I'une quelconque des revendicatlons 
1^10. lorsque lesdrtes instructions sont ex6cut6es par un 6metteur. 

14. Syst^me tragable de chiffrement et/ou de dechiffrement 
d'lnfomnations diffus6es apte a permettre I'Identification. parmi differents 
utilisateurs legitimes, d'un traTtre qui a communique ^ un tiers non autorlse des 
mformations secretes de maniere a ce que ce tiers puisse chiffrer et/ou dechiffrer 
Ies informations diffusees, ce systeme comportant : 

- un emetteur (4) propre e chiffrer Ies Informations diffus6es cet 
emetteur etant apte a mettre en oeuvre au molns une premiere fonctlon 
cryptographique secrete pour traiter directement un message, puis ^ diffuser le 

20 message, 

- plusieurs decodeurs (8) propres e dechiffrer les Informations 
diffusees. tous les decodeurs etant aptes ^ mettre en oeuvre une mSme seconde 
fonction cryptographique secrete Identique ^ ladite premiere fonctlon ou e son 
Inverse pour traiter directement ledit message diffuse, a cet effet, chaque 
decodeur etant 6quipe d'une memoire (21) dans laquelle est enregistree une 
description math6matique de ladite seconde fonction; 

caracterise en ce que la memoire (21) de chaque decodeur contient 
une description mathematlque de iadite seconde fonctlon different© de celle 
enregistree dans la memoirs des autres decodeurs ou dans la memoire des 
autres groupes de decodeurs de maniere a ce que cette description 
mathematlque identlfie de fagon unique le decodeur ou un groupe de decodeurs 
particulier parmi I'ensemble des decodeurs. 
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15. M6moire (21) destinee a §tre associ6e a un d6codeur (8) d'un 
systeme tradable de chiffrement et/ou de d6chlffrement d'informations selon la 
revendlcation 13. caracterisee en ce qu'elle comporte une description 
math6matique equivalente de iadite seconde fonction secrete propre ^ &tre 
5 utilisee par le decodeur. cette description mathematique se composant de 
plusieurs fonctions 6l6mentaires (G,J dont chacune est 6gale ^ la compos6e 
d'au molns trols fonctions selon I'une des relations suivantes : 
Gij = ''i.jogoj(i)OS 

G2J = /'2.jOgoj{2)Offj 



20 



Gr-1,j - f r-1 , j Ogoj (r-i) Ofr.2,1 
Gr.j = Toga|(r)Ofr.1J 

oCi: 



- Gij est la Idme fonction elementaire du d6codeur j. j etant un Indlce 
15 Identlflant un decodeur ou un groupe de decodeurs 

- les fonctions et sont des fonctions predefinies aptes a rendre 
non commutatlves entre elles les fonctions elementalres Gy 

- oj est une permutation de i'ensemble d'Indices {1 ; . . . ; r} unique pour 
chaque d6codeur ou groupe de d§codeurs 

- goj(t) est la ojd) feme fonction d'un ensemble pr6deflnl form6 de r 
fonctions pred6finies g, non Iln6aires commutatlves entre elles, et 

- S et T sont des fonctions pr6d§finles aptes k rendre difficlles la 
cryptanalyse des fonctions 6lementaires respectlvement Gi j et Grj. 
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